W poprzednim artykule omówiliśmy podstawy równoważenia obciążenia oraz metody dystrybucji ruchu pomiędzy rzeczywistymi serwerami. Publikując aplikację za pomocą Kemp LoadMaster, możesz dodać wiele dodatkowych funkcji do podstawowego równoważenia obciążenia.

W tym artykule przyjrzymy się sposobom bezpiecznego publikowania starszych aplikacji za pomocą funkcji LoadMaster Edge Security Pack (ESP) i akceleracji SSL.

Mechanizm akceleracji SSL (SSL Offloading) umożliwia bezpieczne szyfrowanie ruchu za pomocą protokołu HTTPS między użytkownikiem a LoadMaster, nawet jeśli serwery aplikacji nie radzą sobie z najnowszymi standardami szyfrowania lub obsługują tylko protokół HTTP. Pozwala to na bezpieczną komunikację przez Internet ze starszymi aplikacjami.

ESP używa podobnego projektu, aby dodać uwierzytelnianie do aplikacji. Możesz skonfigurować różne metody uwierzytelniania użytkowników z LoadMaster, nawet jeśli Twoja aplikacja ich nie obsługuje lub używa niezabezpieczonych metod, takich jak uwierzytelnianie podstawowe.

Funkcje te mogą zastąpić potrzebę drogich i skomplikowanych rozwiązań VPN przy jednoczesnym zachowaniu bezpieczeństwa. Ostatnio rozwinęliśmy tę koncepcję jeszcze bardziej, wprowadzając rozwiązanie Zero Trust Access Gateway, które zapewnia bezpieczniejszą i bardziej elastyczną opcję dostępu do krytycznych aplikacji firmy.

Grafika nr 1 – Rola LoadMaster w uwierzytelnianiu użytkowników klasycznych aplikacji

 

Odciążanie SSL (SSL Offloading)

Mechanizm SSL Offloading działa poprzez umieszczenie certyfikatu SSL na load balancerze. LoadMaster jest wtedy w stanie negocjować bezpieczne połączenia z urządzeniami użytkowników końcowych, korzystając z niezaszyfrowanych połączeń z serwerami aplikacji. Zatrzymując zaszyfrowany ruch w ten sposób, możesz zapewnić bezpieczne połączenia publiczne, nawet jeśli komunikacja wewnętrzna nie jest zaszyfrowana. Terminowanie połączenia SSL na LoadMaster  pozwala również na zastosowanie na nim innych usług treści, takich jak buforowanie, kompresja i zapora aplikacji internetowych (WAF).

Grafika nr 2 — Konfiguracja mechanizmu SSL Offloading w oprogramowaniu LoadMaster

 

Edge Security Pack

Podczas konfigurowania zabezpieczeń brzegowych można używać różnych metod uwierzytelniania w połączeniach po stronie klienta i po stronie serwera. Typowa konfiguracja używa uwierzytelniania opartego na formularzu dla połączeń klientów i podstawowego uwierzytelniania po stronie serwera. Możesz także uwierzytelniać użytkowników, nawet jeśli Twoje serwery nie obsługują żadnego typu uwierzytelniania, jak pokazano na poniższym zrzucie ekranu. Oddzielając połączenia po stronie klienta od połączeń po stronie serwera, LoadMaster zapewnia pełną elastyczność w sposobie łączenia się i uwierzytelniania użytkowników końcowych.

Grafika nr 3 — Konfiguracja Edge Security Pack

ESP obsługuje również logowanie jednokrotne (SSO) w wielu aplikacjach i zaawansowane protokoły uwierzytelniania, takie jak ograniczone delegowanie Kerberos, NTLM, SAML i Open ID Connect (OIDC). Te zaawansowane protokoły mogą być trudne do skonfigurowania na każdym serwerze aplikacji, ale za pomocą LoadMaster można je łatwo konfigurować i zarządzać nimi z jednego miejsca. SAML i OIDC to ważne protokoły do ​​integracji z zewnętrznymi dostawcami tożsamości, np. Azure AD. LoadMaster obsługuje również integrację z DUO, wspólnym dostawcą uwierzytelniania wieloskładnikowego.

 

Telemetria sieciowa i szyfrowanie ruchu

Funkcja telemetrii sieci w LoadMaster wykracza poza samo działanie aplikacji, monitorując cały ruch na interfejsach sieciowych. Dzięki temu można uzyskać wgląd w ruch usług, taki jak komunikacja Kerberos lub NTLM z infrastrukturą Microsoft lub jakikolwiek inny ruch związany z uwierzytelnianiem inicjowany przez LoadMaster w imieniu użytkownika. Daje to dodatkowe korzyści podczas rozwiązywania problemów związanych z siecią lub aplikacją. W przypadku odciążania SSL bez ponownego szyfrowania, gdy LoadMaster kończy zaszyfrowane sesje użytkowników, a ruch pomiędzy LoadMaster a rzeczywistymi serwerami nie jest szyfrowany, dostępna jest pełna widoczność metadanych aplikacji. Obejmuje to nazwę hosta HTTP, adres URL, metodę HTTP i inne.

Grafika nr 4 – Lista komunikacji między LoadMaster a dwoma rzeczywistymi serwerami wraz z dodatkowymi metadanymi

Z drugiej strony przydatne może być zrozumienie stosowania szyfrowania w odniesieniu do wersji SSL/TLS i zestawu szyfrów. Takie informacje są wyodrębniane z zaszyfrowanego ruchu po ustanowieniu szyfrowania i ujawnieniu informacji w sieci. Jak pokazuje poniższy przykład, rozumiemy, że nasi użytkownicy używają tylko wersji TLS 1.2 i TLS 1.3, co odpowiada najlepszym praktykom.

Grafika nr 5 — Statystyki wersji TLS i zestawu szyfrów w użyciu

Poza ruchem związanym z pracą aplikacji, do prawidłowego dostarczania aplikacji niezbędne są różne protokoły usług, takie jak DNS, NTP czy SSH. Przegląd takich protokołów i istotnych szczegółów jest ważny nie tylko z punktu widzenia rozwiązywania problemów, ale może pomóc w kontroli wskażników bezpieczeństwa i ujawnieniu potencjalnych ataków. To kolejna zaleta korzystania z funkcji LoadMaster Network Telemetry z Flowmon.

Grafika nr 6 – Lista komunikacji zawierająca informacje o różnych używanych usługach

 

Podsumowanie

Razem mechanizmy akceleracji SSL i uwierzytelniania ESP umożliwiają bezpieczne publikowanie starszych aplikacji w sieci Internet. Publikując swoją aplikację za pomocą LoadMaster, możesz teraz szyfrować i uwierzytelniać ruch użytkowników w sieci Internet bez konieczności uaktualniania lub zmiany serwerów aplikacji. Jest to znacznie prostsze, niż złożone rozwiązania VPN, i łatwe do uzyskania przez użytkowników końcowych. Korzystając z ESP wprowadzasz kolejną warstwę ochrony przed różnymi atakami na aplikacje internetowe czy lukami w serwerach aplikacji. Każdy, kto chce wejść w interakcję z samą aplikacją, w tym atakujący, musi najpierw odpowiednio uwierzytelnić się za pośrednictwem ESP. Po wdrożeniu SSL Offloading możesz również uzyskać dostęp do wielu innych funkcji LoadMaster, takich jak buforowanie, kompresja i WAF. Cały ruch sieciowy związany z obciążeniami aplikacji, a także ruch usługowy, może być monitorowany i analizowany za pomocą Flowmon w połączeniu z monitorowaniem ruchu LoadMaster i eksportem telemetrii sieciowej.

Oryginalna teść artykułu Kemp Flowmon: https://www.flowmon.com/en/blog/publishing-securing-legacy-applications

Przetestuj już dzisiaj Kemp LoadMaster z funkcją telemetrii sieciowej

Uzyskaj bezpłatną ocenę swojej sieci od Kemp

.....................................................................................

Zainteresowały Cię rozwiązania Kemp Flowmon ?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl